Хакерская группа Sticky Werewolf («Липкий оборотень») была ответственна за атаки на государственные организации в России и Беларуси. С этого апреля они провели более 30 атак.
Группа использовала фишинговые электронные письма для получения доступа к системам. Они создавали фишинговые ссылки с помощью сервиса IP Logger, который также позволял им собирать информацию о жертвах. Они использовали собственные доменные имена, чтобы ссылки выглядели максимально легитимно.
Фишинговые ссылки вели к вредоносным файлам, замаскированным под документы Microsoft Word или PDF. При открытии такого файла происходила установка вредоносной программы NetWire RAT. Они использовали документы, такие как экстренные предупреждения МЧС России или исковые заявления, чтобы отвлечь внимание жертв.
В случае атак на белорусские организации, они использовали предписания об устранении нарушений законодательства в качестве документов.
NetWire позволял группе собирать информацию о системе, управлять файлами, процессами и службами, получать данные из буфера обмена и о нажатиях клавиш, записывать видео с экрана и микрофона, выполнять команды с помощью командной строки и получать аутентификационные данные.
Важно отметить, что один из продавцов NetWire был задержан в Хорватии в марте 2023 года, и их доменное имя и сервер были конфискованы.
Чтобы обнаружить следы Sticky Werewolf, необходимо обратить внимание на подозрительные исполняемые файлы из временных папок, появление исполняемых файлов, замаскированных под легитимные приложения, в нестандартных местах, и мониторить доступ подозрительных процессов к файлам с аутентификационными данными.
Обучайте своих сотрудников основам кибербезопасности и проводите регулярные тренировки на предмет распознавания фишинговых атак. Мы с радостью предоставим вам необходимые для этого инструменты совершенно бесплатно.
Обращайтесь!